AeR Ransomware
AeR ir draudīga programma, kas ir stratēģiski izstrādāta, lai šifrētu failus apdraudētās ierīcēs, pieprasot izpirkuma maksu par to atšifrēšanu. AeR izpirkuma programmatūra tika atklāta, veicot rūpīgu analīzi, ko veica informācijas drošības pētnieki, izmeklējot iespējamos ļaunprātīgas programmatūras draudus.
Pēc aktivizēšanas apdraudētajās ierīcēs AeR sāk šifrēšanas procesu, mērķējot uz dažādu failu tipu masīvu un mainot to sākotnējos failu nosaukumus. Sākotnējie failu nosaukumi tiek pārveidoti, pievienojot upurim piešķirto unikālu ID, kibernoziedzniekiem piederošo e-pasta adresi un paplašinājumu “.AeR”. Lai ilustrētu, fails, kas sākotnēji apzīmēts kā “1.doc”, tiks pārveidots par “1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR”.
Pēc šifrēšanas procesa AeR Ransomware ģenerē divas atšķirīgas izpirkuma piezīmes. Teksta faili ar nosaukumu "info.txt" ir stratēģiski novietoti darbvirsmā un ietekmētajos direktorijos. Vienlaikus uznirstošajā logā labi redzams tiek parādīts ziņojums, kas prasa izpirkuma maksu. Ievērības cienīgs ir fakts, ka AeR Ransomware ir klasificēta kā daļa no ļaunprātīgas programmatūras draudu saimes Dharma , norādot uz tās saistību ar konkrētu apdraudošas programmatūras līniju.
AeR Ransomware saņem failus par ķīlnieku un pieprasa izpirkuma maksu
AeR Ransomware ģenerētās izpirkuma naudas zīmes tiek piegādātas divos dažādos formātos. Lai gan teksta fails ar nosaukumu "info.txt" būtībā mudina upuri sazināties ar kibernoziedzniekiem, kas ir atbildīgi par uzbrukumu, pievienotajā uznirstošajā logā ir sniegta sīkāka informācija par situāciju. Uznirstošajā logā cietušais tiek informēts, ka viņa faili ir šifrēti.
Izpirkuma ziņojumā uznirstošajā logā ir ietvertas garantijas, ka datu atkopšana ir iespējama. Tomēr tas nozīmē, ka atšifrēšanas process ir atkarīgs no izpirkuma maksas samaksas Bitcoin kriptovalūtā. Turklāt cietušajam tiek piedāvāta ierobežota iespēja pārbaudīt atšifrēšanas procesu līdz trim failiem, ievērojot konkrētus kritērijus. Ziņojums beidzas ar skaidriem brīdinājumiem par neatbilstības sekām.
AeR Ransomware ir identificēta kā daļa no ļaunprātīgas programmatūras grupas Dharma, norādot uz tās saistību ar noteiktu ļaunprātīgas programmatūras līniju. Šīs grupas programmām ir iespēja modificēt vai šifrēt gan lokālos, gan tīklā koplietotos failus. Jo īpaši Dharma Ransomware izmanto stratēģiju, lai pārtrauktu procesus, kas saistīti ar atvērtiem failiem, piemēram, teksta failu lasītājiem vai datu bāzes programmām. Šī pieeja palīdz izspiedējprogrammatūrai izvairīties no atbrīvojumiem no šifrēšanas, kas var rasties tādēļ, ka saturs tiek uzskatīts par “lietotu”.
Daži dati tiek automātiski izslēgti no šifrēšanas procesa, lai novērstu iespējamās darbības problēmas, piemēram, sistēmas failus, kas, ja tie tiek šifrēti, var padarīt ierīci nedarbīgu. Turklāt faili, kurus jau ir bloķējusi cita izspiedējprogrammatūra, ir atbrīvoti no šifrēšanas, pamatojoties uz iepriekš noteiktu ļaunprātīgas programmatūras sarakstu. Tomēr šis mehānisms nav nevainojams, jo tas neaptver visas iespējamās ransomware tipa programmas, atstājot iespējamās ievainojamības izslēgšanas procesā.
Dharma Ransomware varianti izveido noturības mehānismus
Programmatūra Dharma izmanto dažādas metodes, lai nodrošinātu tās noturību kompromitētās sistēmās. Viena no metodēm ietver ļaunprātīgas programmatūras kopēšanu uz %LOCALAPPDATA% ceļu un tās reģistrēšanu ar noteiktām palaišanas atslēgām, nodrošinot automātisku izpildi katrā sistēmas restartēšanas reizē. Lai vēl vairāk kavētu atkopšanas centienus, izspiedējprogrammatūra veic proaktīvu darbību, dzēšot ēnu sējuma kopijas.
Papildus šiem noturības pasākumiem Dharmas programmām ir zināms sarežģītības līmenis, ņemot vērā upuru ģeogrāfisko atrašanās vietu. Šī funkcionalitāte ļauj viņiem pielāgot savus uzbrukumus, izvairoties no reģioniem ar ekonomiskām problēmām, kur mājas lietotāji var mazāk atļauties izpirkuma maksu. Ļaunprātīga programmatūra var arī atlasīt mērķus, pamatojoties uz ģeopolitiskiem apsvērumiem.
Pamatojoties uz plašu analīzi un daudzu izspiedējvīrusu infekciju izpēti, kļūst skaidrs, ka atšifrēšana bez uzbrucēju iesaistīšanas parasti ir nepārvarams izaicinājums. Pat gadījumos, kad upuri izvēlas maksāt izpirkuma maksu, nav garantijas par nepieciešamo atšifrēšanas atslēgu vai programmatūras saņemšanu. Rezultātā ir ļoti ieteicams nepakļauties izpirkuma prasībām, jo šādas darbības ne tikai nenodrošina failu atkopšanu, bet arī veicina nelikumīgu darbību turpināšanu.
Lai gan AeR Ransomware noņemšana no sistēmas ir ļoti svarīga, lai novērstu turpmāku datu šifrēšanu, ir svarīgi ņemt vērā, ka šis process pats par sevi neatjaunos jau apdraudētos failus. Galvenais risinājums ir failu atkopšana no drošas dublējuma, pieņemot, ka tāda ir pieejama. Tas uzsver, cik svarīgi ir uzturēt regulāru un uzticamu dublēšanas praksi kā efektīvas kiberdrošības stratēģijas neatņemamu sastāvdaļu.
Izpirkuma piezīme AeR tiek parādīta kā uznirstošais logs:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kā iegūt Bitcoins
Vienkāršākais veids, kā iegādāties bitkoinus, ir vietne LocalBitcoins. Jums ir jāreģistrējas, jānoklikšķina uz 'Pirkt bitcoins' un jāizvēlas pārdevējs pēc maksājuma veida un cenas.
hxxps://localbitcoins.com/buy_bitcoins
Šeit varat atrast arī citas Bitcoin iegādes vietas un iesācēju rokasgrāmatu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Uzmanību!
Nepārdēvējiet šifrētos failus.
Nemēģiniet atšifrēt savus datus, izmantojot trešās puses programmatūru, jo tas var izraisīt neatgriezenisku datu zudumu.
Jūsu failu atšifrēšana ar trešo pušu palīdzību var izraisīt sadārdzinājumu (tās pieskaita mūsu maksu), vai arī jūs varat kļūt par krāpniecības upuri.Draudu ģenerētajos teksta failos ir šāds ziņojums:
Vai vēlaties atgriezties?
rakstiet uz e-pastu aerossh@nerdmail.co vai aerossh@cock.li vai aerossh@proton.me'
